831病毒事件後記

歷經8月底與不知名病毒慘烈博鬥後,公司簽約的防毒公司總算在數天之後出了可以識別該病毒的病毒碼更新,得知其代號為Win32.Bacalid(巴卡雷?),但是防毒程式似乎只能偵測並阻止有毒檔案被執行,並沒有能力刪除或移除病毒,而且當時我查了各大防毒網站,幾乎沒啥關於該病毒的資訊,但總之毒害不會再擴大,我也就沒再繼續Follow。

前幾天,同事跟我說他的主機回報說偵測到有Bacalid的蹤跡,又喚起我的回億,再次Google,發現已經可以找到許多完整的資訊了(有些資料是9/11日以後才公佈的,所以Google不到)。

看過關於病毒的說明,我確認我的確被"巴"了! 其中吻合處包含了:
1.在Temp底下出現vCab.dll(這也是我後來DIY偵測工具的比對依據)。
2.感染EXE或DLL,DOS Stub被修改,長度增加35K
3.電腦變慢或Explorer會當掉。
4.會下載天堂遊戲的偷密碼程式(難怪後來我的電腦被掃毒程式找出這類怪東西)。
綜合以上的資訊,一切的疑問都有了解答,Case Closed!

另外,試用的結果,賣咖啡(McAfee)的Bacalid Stinger 確實可以將病毒自EXE檔中移除(雖然檔案不會100%還原到原本的大小,可以參考下圖中的winver.exe及winver_virus.exe[中毒後再解毒]),而且可以指定特定目錄做掃瞄,有需要的朋友不妨一試。


 

歡迎推文分享:
Published 25 October 2006 08:39 PM 由 Jeffrey
Filed under: ,
Views: 5,538



意見

沒有意見

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<October 2006>
SunMonTueWedThuFriSat
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication